銀行員からエンジニアへ転職し、現在は社内SEをしながらライター業に従事しています。

サイバー攻撃の脅威が日々進化する中、企業ではランサムウェアなどの被害を想定しておくことが重要になっています。被害に遭うと、企業のビジネスにも深刻な影響を及ぼす可能性が高いです。そこで、CSIRT（Computer Security Incident Response Team）の構築が重要となります。

本記事では、CSIRTの概要からなぜ必要なのか、そして具体的な構築手順まで、筆者の実体験をもとに紹介します。

• 関連記事：WordPressの脆弱性、バージョンアップのタイミング検証
• 関連記事：ユニークビジョンCTOが志向するチームづくり
• 関連記事：最先端のUX/UIを実装する多国籍チーム｜アルサーガパートナーズ ヨハンナ・オーマン氏に聞く

セキュリティインシデントの防止と対応に必要なCSIRT

CSIRTは、セキュリティインシデントが発生しないための事前対策や、実際に発生したときに対応するためのチームです。セキュリティインシデントとは、不正アクセス・ランサムウェア攻撃・ウイルス感染など、情報システムに対する悪意ある行為や予期しない出来事を指します。CSIRTの主な目的は、セキュリティインシデントの早期発見・対応、システムの復旧、さらなる被害の防止です。

CSIRTの構築前にするべきこと

実は、CSIRTの構築よりも前に実施すべきことがあります。それは重要なシステムやファイルサーバのバックアップの取得や、各システムの復旧手順をまとめておくことです。実際にわたしの働く企業でも実施しています。しかし、数十個もあるサーバのバックアップや復旧手順をまとめるのは、十分なリソースが確保されていないと難しいものでした。そこで、止まったら業務に大きな影響を与えるシステムのみに絞って手順書を作成しました。

私の働く会社は製造業のため、具体的には在庫を移動する受払のシステム・工場から出荷するときに利用するシステム・顧客の注文を受け入れるためのシステムなどです。これらのシステムのバックアップや復旧手順の作成は、CSIRT構築よりも先にやっておくべきでしょう。バックアップや復旧手順が確立していない場合、仮にCSIRT構築だけをしていても、被害にあってから前の状態に復旧することが困難になってしまいます。

なぜCSIRTが重要になるのか

では、バックアップや復旧手順をまとめておけば十分なのでしょうか？

そんなことはありません。ここで、CSIRTの構築が重要となってきます。バックアップや復旧手順をまとめていても、ハードウェアの故障などによってシステムが停止するケースと、ランサムウェアなどのセキュリティインシデントによる場合とで大きく異なってくるのです。

前者であれば、用意していたバックアップと手順書をベースに、早急にシステム復旧を実現できるでしょう。しかし、後者の場合には、他のサーバやPCに感染をしていないかという影響調査のために、すぐにシステムを復旧できないケースがあります。そのため、システムを復旧させるだけではなく、その間にどのように業務継続をしていくのかが大切です。まさにこの部分はわたしが働く会社でも課題となっているため、まだ検討ができていない企業でも実施していく必要があるでしょう。

CSIRT構築をどのように進めていくべき？

CSIRT構築で重要になるのが、経営層や現場レベルの人にも積極的に関わってもらうことです。わたしが働く会社では、経営層を巻き込みきれずに、現場まで浸透せずに頓挫した経験があります。

頓挫したときは、社内のサーバ保守を情シスが担当していたこともあり、CSIRT構築についても情シスが担当しました。進め方としては、情シス内で全体の運用案や現場のメンバーを選定し、納得を得られるように説明をしていく形です。

しかし、この進め方にしてしまうと、情シスだけが理解をしており、現場は受け身になってしまうデメリットがあります。その結果、現場からみると「情シスがまた何かやってるな」という印象しか持たれず、自身の問題として捉えられないのです。

さらに、経営層を巻き込んだトップダウンで進められなかったこともあるため、部ごとに協力してくれる度合いに違いがありました。こうした背景もあり、全体としてうまく方針がまとまらずに、取り組み自体が頓挫してしまったのです。

この経験から「経営層を巻き込みながら進める」「現場主体で考えてもらう」ことが重要だと改めて認識しました。そのため、まずは経営層にCSIRTの重要性を理解してもらうことから始めましょう。経営層からの理解を得てからは、会社としてCSIRTの構築を進めると宣言してもらい、トップダウンで進めるようにすると効果的です。そこからは、業務ごとのキーパーソンを把握し、彼らにもCSIRTの理解をしてもらいましょう。キーパーソンからの理解を得られれば、キーパーソンを中心に、業務ごとにインシデント発生時の動きをまとめていけます。

まとまってからは、定期的にセキュリティインシデントを想定した訓練を実施し、実際に発生してからでも落ち着いて対応できるようにすることが重要です。

CSIRTには決まった形がない

CSIRTは企業や組織によって異なる形態をとります。大きな組織では、専任のCSIRTチームを設けることもありますが、中小企業や中規模の組織では、情シスや各部門のメンバーが普段の業務と並行してCSIRTの役割を果たす場合が多いです。わたしが働く会社でも、専任のCSIRT部隊を設けるのではなく、情シスがCSIRTとして活動しています。

現場レベルのメンバーについても、普段は業務をしてもらい、セキュリティインシデントが発生した際には、事前に決めておいたメンバーがCSIRT部隊として活動をしていきます。

そのため、事前に誰がどのような役割を担うのかというのは決めておくべき課題です。CSIRTは企業規模や企業文化によって体制が異なるため、進めやすい体制を検討していきましょう。

CSIRTの体制作りは組織全体で

サイバーインシデントの脅威は絶え間なく変化しています。CSIRTを通じてセキュリティインシデントへの備えを強化し、ビジネスの持続性と顧客の信頼を守っていく必要があります。CSIRTの体制作りは組織全体で取り組んでいく課題のため、今回の記事を参考に全社的に進めていきましょう。

（文：長谷川 貴之）

― presented by paiza